*Mais de nove milhões de dispositivos Android infectados por trojan que rouba informações

Uma campanha de malware em grande escala no AppGallery da Huawei levou a aproximadamente 9.300.000 instalações de cavalos de Troia Android mascarados em mais de 190 aplicativos diferentes. 

O trojan é detectado pelo Dr.Web como 'Android.Cynos.7.origin' e é uma versão modificada do malware Cynos projetada para coletar dados confidenciais do usuário.

A descoberta e o relatório vêm de pesquisadores do Dr. Web AV, que notificaram a Huawei e os ajudaram a remover os aplicativos identificados de sua loja.

No entanto, aqueles que instalaram os aplicativos em seus dispositivos ainda terão que removê-los de seus dispositivos Android manualmente.

Cavalo de Tróia disfarçado de aplicativos de jogo

Os agentes de ameaças ocultaram seu malware em aplicativos Android fingindo ser simuladores, plataformas, fliperamas, estratégia RTS e jogos de tiro para usuários que falam russo, chinês ou internacional (inglês).

Como todos eles ofereciam a funcionalidade anunciada, os usuários provavelmente não os removeriam se gostassem do jogo.

A lista de aplicativos de malware Cynos é muito extensa para ser compartilhada aqui, mas alguns exemplos notáveis ​​que se destacam por ter um grande número de instalações estão listados abaixo:

  • 快点 躲 起来 (Apresse-se e esconda-se) - 2.000.000
  • Aventuras de gatos - 427.000
  • Simulador de escola de direção - 142.000

 


Uma vez que é impraticável comparar sua lista de aplicativos instalados com a  lista completa de 190 aplicativos maliciosos , a solução mais simples seria executar uma ferramenta antivírus que pode detectar cavalos de Troia Cynos e suas variantes.

Malware poderoso

A funcionalidade desta variante do trojan Cynos pode realizar várias atividades maliciosas, incluindo espionar textos SMS e baixar e instalar outras cargas úteis.

"O Android.Cynos.7.origin é uma das modificações do módulo do programa Cynos. Este módulo pode ser integrado a aplicativos Android para monetizá-los. Esta plataforma é conhecida desde pelo menos 2014", explicou os analistas de malware Doctor Web em seu relatório .

"Algumas de suas versões têm funcionalidades bastante agressivas: enviam SMS premium, interceptam SMS de entrada, baixam e iniciam módulos extras e baixam e instalam outros aplicativos."

"A principal funcionalidade da versão descoberta por nossos analistas de malware é a coleta de informações sobre os usuários e seus dispositivos e a exibição de anúncios."

A natureza agressiva do trojan se torna aparente desde a fase de instalação, quando ele pede permissão para realizar atividades que geralmente não estão associadas a um jogo, como fazer ligações ou detectar a localização dos usuários.


Se o usuário conceder as solicitações de permissão, o malware pode exfiltrar os seguintes dados para um servidor remoto:

  • Número de celular do usuário
  • Localização do dispositivo com base em coordenadas GPS ou rede móvel e dados de ponto de acesso Wi-Fi
  • Vários parâmetros de rede móvel, como código de rede e código de país móvel; também, ID de celular GSM e código de área de localização GSM internacional
  • Várias especificações técnicas do dispositivo
  • Vários parâmetros dos metadados do aplicativo trojanizado

Além disso, os cavalos de Tróia Cynos podem baixar e instalar módulos ou aplicativos extras, enviar SMS de serviço premium e interceptar SMS de entrada.

Dessa forma, esses aplicativos podem gerar cobranças inesperadas pela assinatura de serviços premium e também podem reduzir a carga útil de spyware ainda mais furtiva.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment